Política de protección de datos y privacidad - PYME

La Política de protección de datos y privacidad (P17S) proporciona un marco estructurado para proteger los datos personales dentro de las organizaciones, en particular las pequeñas y medianas empresas (PYME) que pueden no contar con equipos de seguridad dedicados o departamentos de TI especializados. Esta política para PYME está diseñada con roles y responsabilidades simplificados, como el Director General (GM) actuando como responsable con rendición de cuentas, para garantizar que el cumplimiento sea comprensible y alcanzable independientemente del tamaño o de los recursos internos de una organización. Su estructura y contenido están plenamente adaptados a la realidad de las PYME, con medidas prácticas basadas en el riesgo que se alinean con ISO/IEC 27001:2022, manteniendo al mismo tiempo la preparación para auditorías y la capacidad de respuesta ante el escrutinio regulatorio. El documento establece requisitos claros para recopilar, almacenar, tratar y suprimir datos personales, garantizando que todas las actividades relevantes sean lícitas, justas y seguras según lo prescrito por normativas de protección de datos como el RGPD, NIS2 y DORA. De forma importante, la política cubre los datos personales tratados en las instalaciones, en la nube o por proveedores terceros de servicios, y hace que el cumplimiento sea obligatorio para todos los empleados, contratistas y proveedores. El alcance es integral e incluye todos los sistemas, ubicaciones y personal que puedan manejar datos relacionados con clientes, personal, proveedores o cualquier otra persona identificable. Los objetivos críticos de la política incluyen garantizar la adhesión a las leyes y normas de privacidad, implementar controles tecnológicos y controles organizativos, y fomentar una cultura de rendición de cuentas y transparencia. Se incluyen disposiciones específicas para respetar los derechos de privacidad individuales, como el derecho a acceder, corregir o suprimir datos personales, y para aplicar una estricta protección y minimización de datos y prácticas de supresión segura. La política también subraya la necesidad de documentar las actividades de tratamiento, mantener un control de acceso sólido y gestionar los incidentes de privacidad con procedimientos de escalado bien definidos. Los roles se asignan explícitamente: el Director General es responsable de la supervisión y la asignación de recursos, el Coordinador de Privacidad (que puede ser interno o externalizado) gestiona las tareas operativas de privacidad, el Soporte de TI garantiza los controles técnicos, los responsables de departamento refuerzan el cumplimiento en sus equipos, y se espera que todo el personal y los contratistas cumplan las normas y completen la formación obligatoria requerida. Los mecanismos de revisión y adaptación son parte integral de esta política, exigiendo una revisión formal anual y revisiones adicionales desencadenadas por nuevas leyes, incidentes importantes o nuevos servicios que impliquen tratamiento de datos. Los procedimientos de gestión de excepciones y gestión de riesgos garantizan que las desviaciones estén controladas, limitadas en el tiempo y plenamente documentadas. Por último, como política conforme para PYME, P17S cierra la brecha entre el rigor regulatorio y la practicidad operativa, ayudando a las empresas a demostrar rendición de cuentas, proteger la confianza del cliente y minimizar el riesgo de incumplimiento.